Di Pierguido Iezzi

Qlocker semplifica gli attacchi ransomare grazie a 7zip e ai dispositivi QNAP non patchati

Una gang cyber criminale specializzata nell’uso di ransomware ha recentemente incassato un totale di 260.000 dollari, criptando da remoto file su dispositivi QNAP utilizzando il programma di archiviazione 7zip. E’ il risultato dell’operazione Qlocker, che ha colpito utenti in tutto e ha sfruttato alcune vulnerabilità dei loro dispositivi per porre in essere l’attacco. Se molti gruppi specializzati nell’uso di ransomware hanno concentrato il loro impegno nello sviluppo dei loro malware per porre in essere un sistema di cifratura efficiente, ricco e robusto, il gruppo del cybercrime Qlocker non ha nemmeno dovuto crearsi il proprio malware.  Piuttosto che seguire la strada più tortuosa, ha preferito scansionare i dispositivi QNAP connessi alla rete internet per rilevare quelli che presentavano le vulnerabilità recentemente rese pubbliche. Questi exploit hanno permesso ai threat actor di eseguire da remoto la utility di archiviazione 7Zip per proteggere con una password tutti i file conservati sui dispositivi di storage NAS delle vittime. Utilizzando questo approccio semplificato, sono riusciti a cifrare migliaia di dispositivi nell’arco di soli 5 giorni, usando un algoritmo di lunga data integrato nella utility di archiviazione 7zip.

Le vittime non sono più grandi aziende e le richieste di riscatto sono parametrate in base ai “piccoli” bersagli

Gli attacchi ransomware destinati a colpire realtà aziendali solitamente culminano con la richiesta di pagare riscatti di valore variabile da 100.000 a 50 milioni di dollari, in cambio della decifratura di tutti i dispositivi colpiti e a fronte della promessa di non rendere pubblici i dati sottratti. Qlocker, invece. ha scelto un obiettivo diverso: i proprietari di realtà aziendali di piccole e medie dimensioni che utilizzano i dispositivi di archiviazione di rete QNAP NAS. A quanto pare gli attori del cybercrime conoscevano bene gli obiettivi, trovando il pricing perfetto. La richiesta di riscatto era di “soli” 0,01 bitcoin, al controvalore attuale si tratta di circa 500 dollari. L’esecuzione di pagamenti pari a milioni di dollari richiede l’attivazione di complessi meccanismi di decision-making a livello aziendale, anche al fine di comprendere se i dati sottratti valgano una richiesta tanto esosa. Ad ogni buon conto, pagare 500 $ può essere visto come un piccolo esborso da effettuare per recuperare file importanti, indipendentemente dalle altre valutazioni di natura emotiva possano essere fatte dalla vittima. Le scelte di Qlocker, infatti, sembrano aver portato i giusti frutti, dato che i pagamenti sono arrivati numerosi e copiosi, accumulando un bel gruzzolo a fronte di un’attività di pochi giorni.

Questa nuova strategia ha portato ricavi superiori a 250.000 dollari in soli pochi giorni di attività

Dato che il ransomware Qlocker usa un set fisso di indirizzi Bitcoin attraverso i quali vengono reindirizzate le vittime, è stato possibile raccogliere tali indirizzi e monitorare i flussi di pagamento. Negli scorsi giorni, il ricercatore di cybersecurity Jack Cable ha scoperto un bug di breve durata che gli ha permesso di recuperare le password di 55 vittime, in modo gratuito. Utilizzando questo baco, è riuscito a raccogliere 10 ulteriori indirizzi Bitcoin utilizzati dai threat actor per ricevere i pagamenti delle vittime. Da allora sono stati rilevati 10 ulteriori indirizzi, per un totale di 20 coordinate bitcoin usate dai threat actor Qlocker. Al momento sono stati ricevuti pagamenti estorsivi per un totale di più di 5 Bitcoin (per un controvalore attuale superiore, come già detto a 250.000 $). Suddividendo l’ammontare, il risultato è che circa 525 vittime hanno deciso di pagare il riscatto per chiudere la faccenda. Sfortunatamente i pagamenti continuano ad arrivare, dato che le vittime devono scegliere se pagare gli estortori per riottenere il controllo dei file, oppure far finta di nulla rischiando un danno d’immagine e materiale ben superiore. È lecito attendersi che tale numero sia destinato a crescere nei giorni a venire.

La campagna del ransomware è ancora attiva

Questa campagna ransomware è ancora attiva, con nuove vittime che fanno capolino a ogni giorno che passa. Per questo motivo, tutti gli utenti di QNAP devono aggiornare i propri dispositivi all’ultima versione di Multimedia Console, dell’add-on Media Streaming e delle app Hybrid Backup Sync per risolvere le vulnerabilità e proteggersi da questi tipi di attacco ransomware. Agli utenti è stato anche consigliato di mettere in sicurezza i propri dispositivi NAS per rendere più complessi ulteriori attacchi di questo tipo in futuro. L’informazione è sempre la prima arma per far fronte a questi pericoli… non abbassiamo la guardia!